ThunderbirdのInboxファイル内の脅威を検出

お世話になります。

 

だいぶ前の話になるのですが、確認しておきたいので投稿致します。

 

Norton Internet Security 2010から2011にアップ後、システムの完全スキャンを実施したところ

メーラー(Thunderbird)のメール格納ファイル(Inbox)内に脅威を検出したとの事で、Inboxファイ

ルが削除されメールが全く読めなくなってしまいました。

幸い、削除されたファイルのバックアップを取得していたので、数日前の状態にまで復旧する事は

出来ました。

 

サポートに連絡して対処方法を教えて頂き、現在はInboxファイルが格納されているフォルダを

スキャンから除外する項目及び、Auto-ProtectとSONAR検出から除外する項目に設定し、その

後は当該事象は発生しなくなりました。

 

ただここで疑問があります。

2010使用時は全く問題なかったにもかかわらず、2011にアップした途端脅威を検出したという事と

その脅威を検出した全く同じInboxファイルを別ドライブにコピーし、単体でスキャンを実施したところ

問題なくスキャンが終了した事です。

これは一体どういう事なのでしょうか。システムの完全スキャンでは脅威を検出し、単体スキャンでは

問題なく終了。

Inboxファイル内には本当に脅威が存在するのでしょうか。それとも誤検出されてしまうのでしょうか。

 

現在は当該ファイルを除外する項目に設定する事で問題なく使用していますが、出来れば除外項目の

設定等せずに使用したいと思っているのですが...。

 

OS:Windows XP SP3

Thunderbird:Ver 3.0.11

 

以上、ご回答宜しくお願い致します。

トロの箱庭さん

 

アドバイス有難うございます。

先ず、誤りがあったので訂正します。バージョンアップはNIS 2009から2011にアップしました。

誤った情報を記載してしまい申し訳ありません。

それと検出された脅威名なのですが、以前投稿させて頂いたEPSON社のE-Web Print削除に

絡んだ対処にてNISのアンインストール~インストールを行った為、以前の履歴が残っておりません。

覚えているところではInfostealerというのがありました。その他計100くらいの脅威をInbox内に

検出したと表示され正直驚いてしまいました。疎覚えで申し訳ないのですが、WS.Reputation.1

という脅威名はなかったと思います。

Thunderbirdの専門家ではありませんので、誤った内容かもしれませんがコメントさせてもらいます。

Thunderbirdのinboxは、各受信メールがそれぞれ一つのファイルとして保存されるのではなく、全体を一つのinboxファイルとして保存していると思います(index用のファイルも作成されるようですが)。

このinboxファイルについてはNIS2009では、inboxに含まれる個々のメールレベルの解析ができていなかった可能性があると思います。当方はinboxでのウイルス検知経験はありませんが、NIS2009(それ以前だったかも)で全体スキャンする時にThunderbirdのフォルダ処理に長時間かかっていた記憶があり、何か動きがおかしいと思っていました。

NIS2010あたりで改善されたように思いますが、その際にinboxの内部解析が正常に行えるようになり、NIS2009では検知できなかった感染ファイルについて検知し、今回の削除に至ったという可能性があると思います。

inboxファイルかどうかをNISがどうやって判別しているのか分かりませんが、Thunderbirdのmailboxフォルダ位置を元に判断しているのであれば(ファイルの中身からThunderbirdのinboxファイルであることを判断するのは難しいと思います)、inboxファイルを別の場所にコピーした場合inboxファイルとして認識しないため、手動スキャンでは問題検知しないことも納得できます。

 

別件ですが、Thunderbird(3.1.10)の「オプション」-「セキュリティ」-「ウイルス対策」に「受信したメッセージは個別の一時ファイルとして保存してからメールボックスに移動させる」というチェックボックスがあります。これを有効にすると受信処理速度は若干落ちますが、既知の感染ファイルについては受信時点で検知できますので、より安全かと思います。

書き忘れました。

削除したメールは一覧上では見えませんが、「フォルダを最適化」しないとinboxファイルには残ったままになっていると思います。

削除したはずの部分で感染指摘があったのかもしれません。

「フォルダを最適化」を実施すると処理性能にも良い影響がありますので、定期的に実施することをお勧めします。

NIS2009時代に「フォルダを最適化」を実施されているのでしたら、別の原因ということになります。

tsuhoshiさん

 

アドバイス有難うございます。

ご指摘のThunderbirdに関するオプションの設定と、最適化の操作を実施しました。

サポートに連絡した際、tsuhoshiさんの仰る通り、2009と2011ではスキャンの方式(精度)が

違っているといった事の説明を受けた記憶があります。

 

それと、自分は契約しているプロバイダのウィルスメールチェックサービスというものを利用

しており、ウィルスメールが届いた際はそのメールを削除し、その削除結果と検出された

脅威名のみメールで届くのですが、覚えている脅威名(Infostealer)でThunderbirdの本文

検索を実施したところ、削除結果報告メールにその名前がありました。

ただ、本文に脅威名が記載されているからといって、それを実際に脅威が内在していると

判断する事はないと思うのですが如何でしょうか。

shizumaさん

 

当初よりISP提供のウイルスチェック機能をご利用なのでしたら、inbox上に感染したファイルが格納されることは基本的にないはずです。また、ISPで感染を検知して送付されたウイルス名を含むだけのメールは感染ファイルと判断されることはないと思います。

実際には、NIS2011ではウイルスを検知(しかも多数の脅威)し、inboxを削除してしまったわけですから、極論すれば2つの可能性しかないと思います。

1. ISP側でウイルスチェック漏れがあり、感染メールを受信していた(NIS2009の全体スキャンではinbox中の感染メールを検出できなかった)

2. NIS2011が誤検出した

ISP、NISどちらの問題であるのかはシマンテックに解析してもらうしかないと思います。シマンテックサポートからは原因調査のための資料を要求されているのでしょうか。技術部門にエスカレーションするのはかなり面倒だったと思いますが......。

 

NISの除外設定しないための回避策ですが、当方の思いつくところでは以下の方法があります。要は受信トレイの再構築です。

1. 受信トレイ中の全メールをエクスポート(フォルダ内の全メールをeml形式でエクスポート)

もしかしたらこの操作で感染ファイルが検出されるかもしれません。

2. 受信トレイ中の全メールを削除(ゴミ箱も空に)

3. 受信トレイを選択して右クリックから最適化を実行

inboxファイルのサイズが0になるはずです

4. 受信トレイにエクスポートしたメールをインポート(フォルダから全てのemlファイルをインポート)

これでメール本体だけでなく、受信時刻やsubjectも復元できるはずです

エクスポート・インポートするためのアドオンとしてはImportExportToolsが便利だと思います。上の操作はこのアドオンを使った場合の例です。

 

この方法を試す場合、Thunderbirdのmailbox環境をバックアップしておき、失敗しても復元できるように注意願います。

また、受信トレイ以外のフォルダを作成してImportExportToolsの操作を確認してから受信トレイの再構築を行ってください。

受信トレイ以外にも全スキャンで感染指摘があるようでしたら、同じ方法で再構築できると思います。

tsuhoshiさん

 

tsuhoshiさんの提案して頂いたThunderbirdの再構築を実施後、各除外設定から削除し

システムの完全スキャンを実施しました。

結果、無事セキュリティリスクを検出する事なくスキャンが終了致しました。

この状態で使っていこうと思います。

 

大変助かりました。

 

トロの箱庭さん、tsuhoshiさん

この度はお手数をおかけしました。有難う御座いました。

お世話になります。

 

だいぶ前の話になるのですが、確認しておきたいので投稿致します。

 

Norton Internet Security 2010から2011にアップ後、システムの完全スキャンを実施したところ

メーラー(Thunderbird)のメール格納ファイル(Inbox)内に脅威を検出したとの事で、Inboxファイ

ルが削除されメールが全く読めなくなってしまいました。

幸い、削除されたファイルのバックアップを取得していたので、数日前の状態にまで復旧する事は

出来ました。

 

サポートに連絡して対処方法を教えて頂き、現在はInboxファイルが格納されているフォルダを

スキャンから除外する項目及び、Auto-ProtectとSONAR検出から除外する項目に設定し、その

後は当該事象は発生しなくなりました。

 

ただここで疑問があります。

2010使用時は全く問題なかったにもかかわらず、2011にアップした途端脅威を検出したという事と

その脅威を検出した全く同じInboxファイルを別ドライブにコピーし、単体でスキャンを実施したところ

問題なくスキャンが終了した事です。

これは一体どういう事なのでしょうか。システムの完全スキャンでは脅威を検出し、単体スキャンでは

問題なく終了。

Inboxファイル内には本当に脅威が存在するのでしょうか。それとも誤検出されてしまうのでしょうか。

 

現在は当該ファイルを除外する項目に設定する事で問題なく使用していますが、出来れば除外項目の

設定等せずに使用したいと思っているのですが...。

 

OS:Windows XP SP3

Thunderbird:Ver 3.0.11

 

以上、ご回答宜しくお願い致します。

shizumaさん、はじめまして。

 

回答でなくて申し訳ないのですが、私も以前、Thunderbird のinbox内から

脅威が検出された経験があるので、気になって書き込みました。

私の場合、あくまで削除されたのは問題のファイル(マルウェア)のみで、

inboxそのものは削除されませんでした。

ところが、shizumaさんの場合、問題のファイルのみでなく、

inboxそのものが削除されてしまった、ということですよね。

 

検出時、何という名前で検出されたかわかりますか?

もし、WS.Reputation.1なら、こちらが参考になると思います。

誤検出の報告の仕方も載っています。

 

以上、あまり回答になってなくてすみません。

問題が早期解決するといいですね。

あとは、スタッフの方に回答をお任せしたいと思います。